在George刚接任一家零售公司的首席信息安全官时,IT安全工作还相对比较简单。但随着企业发展——线上订购增多、员工人数增加、整个企业的数字化业务需要多种云平台和技术的支持,因此安全漏洞也随之增加。此外,日益增加的攻击和网络钓鱼使企业机构更加难以确认需要关注哪些安全项目和从哪里才能获得最大的投资回报。

Gartner高级研究总监Brian Reed指出:“安全和风险管理领导者正忙于维护现有的安全项目和提出新的项目。他们的首要任务是重点关注对业务影响大的和能够减少大量风险的新安全项目。”

Gartner已为采取所有基本安全措施的企业机构确定了十项安全项目(排名不分先后)。

项目一:特权访问管理(PAM

特权账户(或者管理员或高权限账户)是攻击者喜欢的目标。特权访问管理项目强调对这些账户采取必要的保护控制措施,并且通过基于风险的策略确认优先级别。特权访问管理项目应涵盖人类和非人类系统账户,并支持本地、云和混合环境组合以及自动化应用程序接口。

项目二:受持续自适应风险与信任评估影响的漏洞管理

安全团队无法处理数量庞大的漏洞,也无法修补所有漏洞。因此,安全与风险管理人员应重点关注“持续自适应风险与信任评估”(CARTA)安全方法,随时随地调整安全措施。首席信息安全官必须与业务利益相关者商定IT资产的业务价值并且确认与之相关的风险,从而强调关注这些资产的重要性。此外,企业机构必须了解网络拓扑结构以及IT基础架构的任何变化。

项目三:检测和响应

尽管不存在完美的保护选项,但首席信息安全官应考虑检测和响应项目。请思考几个问题:哪些数据收集和存储方法可以支持检测和响应能力?该技术是否具备各种检测和响应功能或是否具备应用感染指标(Indicators of Compromise)的能力?

对声称具有人工智能或机器学习能力的供应商进行详尽的测试。如果您已经有了一个端点保护平台,请考虑将该平台作为提供端点检测和响应的选项。如果采用的是托管安全服务方法,请考虑能够为托管服务提供商提供信息的项目。请务必对声称具有人工智能或机器学习能力的厂商进行详尽的测试。

项目四:云访问安全代理(CASB

云访问安全代理为使用多个软件即服务(SaaS)应用程序的企业机构提供了一个可见性和管理控制点。此类项目首先通过云应用发现来识别影子IT。应评估企业机构对于SaaS应用程序使用和共享的敏感数据是否具有控制权和可见性,确定每项云服务所需的可见性和控制水平,并且签署侧重于敏感数据发现和保护的短期合约。

项目五:云安全状况管理(CSPM

虽然云服务提供了高级别的自动化和用户自助服务,但几乎所有云攻击都是因为客户配置不当、疏于管理和错误造成的。可以考虑使用云安全状况管理流程和工具来降低云风险。如果企业只使用基础设施即服务(IaaS)平台,请确认提供商是否提供了云安全状况管理选项。如果没有,请确保云安全状况管理提供商支持企业正在使用的多个云。基于云的云安全状况管理选项能够根据评估结果进行自动更改,但如果企业已经(或正在考虑)使用云访问安全代理,则市场领导者应已有成熟的云安全状况管理选项。

项目六:业务邮件泄漏

业务邮件泄漏项目可以帮助安全和风险管理领导者应对网络钓鱼攻击和定义不明的业务流程。此类项目侧重于技术控制以及企业机构特有的流程故障。自定义机器学习选项可以与当前的电子邮件安全系统集成,并且安全和风险管理领导者可以要求当前的电子邮件安全提供商提供此类控制措施,同时在项目中加入安全意识培训和其他端点保护措施。

项目七:暗数据(Dark Data)发现

在进行数据中心合并或云迁移之前,请先进行暗数据发现。暗数据是指具有低价值和未知风险的数据。减少企业机构的数据占用空间不仅可以降低安全风险,还可以降低违反《通用数据保护条例》(GDPR)和其他法规的风险。应搜索保存在多个数据孤岛(即文件共享、数据库、大数据和云存储库)中的数据,关注为所有保存敏感数据的系统提供广泛数据存储库支持的厂商。

项目八:安全事件报告

应对安全事件做好规划、准备并充分响应。该项目可侧重于更新现有计划或完全重建响应。应评估您当前的响应水平以及计划中可以改进之处,考虑通过与提供商签订事件响应合约获得解决主动和被动任务所需的灵活性。

项目九:容器安全

开发者正越来越多地使用Linux系统加快数字化业务能力在开发流程中的使用,但每一个这样的容器都必须在投入生产前筛查弱点和问题。容器安全必须集成到常用的开发者工具和CI/CD流程中,并且与各类应用程序接口一起使用以支持各种安全工具。

首先应扫描已知的漏洞和配置问题,然后将该策略扩展到运行时的生产(runtime production)。更高级的解决方案可以为每个容器建立详细的“材料清单”(bill of materials),并且将其与运行时实际使用的材料进行对比,以此建议可以删除库和代码的地方。

项目十:安全评级服务(SRS

数字生态系统变得日益复杂,安全风险也是如此。除了内部安全和风险之外,安全和风险管理领导者必须考虑供应商、监管者、客户、业务伙伴和平台。安全评级服务可以为您的整个数字生态系统提供实时、低成本、连续而独立的评分。虽然不是完整的视图并且只能作为补充,但此类服务却是一项重要的创新。您可以评估各家厂商是否符合您的要求并且确保将安全评级服务作为选择标准之一。

声明:本文来自GartnerInc,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。